• Wirusy plikowe
• Wirusy nierezydentne
• Wirus rezydentny
• Mechanizmy działania wirusów
• Fazy działania wirusa

Wirus rezydentny

Program rezydentny to taki program, który instaluje się w pamięci i tam pozostaje. Program rezydentny może być w ogóle niewidoczny dla użytkownika. Inne programy "przychodzą i odchodzą" (np. włączamy edytor tekstów, pracujemy, wyłączamy, włączamy program użytkowy, wyłączamy itp.) Podczas tych wszystkich czynności w pamięci może tkwić program rezydentny. Wielu użytkowników zetknęło się już z programami rezydentnymi, np. SideKick, Turbo Lightning, Słowniki, Helpy, programy do wydruku ekranów graficznych. Za pomocą naciśnięcia charakterystycznych dla każdego programu klawiszy, programy te1 ujawniają się, nawet podczas działania innego programu. Stąd wynika prosty wniosek, że program rezydentny może śledzić poczynania systemu i użytkownika. Antywirus rezydentny jest bardzo niebezpieczny, bo działa niejako 'w tle', niewidoczny lecz aktywny, może śledzić działania komputera, w odpowiednich momentach zarażać i wykonywać ataki na programy i dane. Są wirusy, które pozostają rezydentne w pamięci, nie ujawniając się przez wiele miesięcy aby ukazać się np. w najbliższy piątek trzynastego.

Aby uzmysłowić Czytelnikowi istotę aktywności programów rezydentnych proponuję wpisanie prostego programu w Turbo Pascalu. Ten program to nie jest żaden wirus. Można go wypróbować bez obaw. Aby się go pozbyć wystarczy wyłączyć komputer. Program kompilujemy na dysk, wyłączamy kompilator i uruchamiamy.

W tym miejscu mała uwaga adresowana do 'rasowych programistów'  nie dziwcie się Państwo, że ten program jest taki, jaki jest  ma on na celu wyłącznie pokazanie, że coś może się dziać w tle; nie jest on przykładem metodycznym jak pisać programy rezydentne...

Po uruchomieniu programu z głośnika komputera popłyną dziwne odgłosy: tykanie, piszczenie i skrzypienie. Komputer pracuje w zasadzie całkowicie normalnie. Można uruchomić edytor tekstów, inne programy, można kopiować dyskietki (tego warto spróbować zwłaszcza na XT), można drukować na drukarce. A jednak odgłosy świadczą, że poza operacjami, które nakazujemy wykonać dzieje się coś więcej. Program rezydentny przejął kontrolę nad systemem i robi swoje. W naszym przypadku generuje piski i dzięki temu jego obccnoć jest zauważalna. Ale wirus nie będzie z pewnością takim ekshibicjonistą. Najpierw się rozmnoży, a dopiero później...

Aby usunąć rezydenta z pamięci wystarczy wyłączyć komputer lub nacisnąć .
Wirusa również usuwamy z pamięci gdy wyłączamy komputer, ale co z tego gdy ten zaraził już zbiory systemowe na dysku twardym i po włączeniu komputera znów trafia do pamięci , znów obejmuje swoją rezydencję i od nowa się zaczyna. Namiastkę tego mechanizmu na swym komputerze można uzyskać przez umieszczenie naszego przykładowego programiku w autoexec.bat

Uruchomienie komputera (w przypadku wirusów dyskowych) lub programu nosiciela (wirusy plikowe) powoduje zainstalowanie wirusa w pamięci i przejęcie przez niego kontroli nad różnego rodzaju operacjami dyskowymi. Od tej chwili każdy uruchamiany program, lub każda wykorzystywana dyskietka ulegają infekcji. Jeżeli dodać do tego okresowe replikacje wirusa czy rozpoczęcie fazy niszczącej, to może zaistnieć sytuacja, że raz wlączony system, nawet jeśli użytkownik nie wykonuje żadnych operacji, ulega dalszej infekcji czy nawet niszczeniu. Jak widać infekcja taka stanowi już bardzo poważne zagrożenie.